탐지 콘텐츠: CVE-2019-16759 새로운 방법으로의 악용

오늘, 우리는 버전 5 이상에서 관찰된 가장 널리 사용되는 포럼 소프트웨어 vBulletin의 CVE-2019-16759 취약점에 대한 공지를 하고자 합니다.

이 취약점은 해커에게 HTTP POST 요청의 widgetConfig[code] 매개변수를 통해 원격 명령을 실행할 기회를 제공하며, 사용자의 vBulletin 권한에 따라 호스트에 대한 제어를 받을 수 있습니다.

CVE-2019-16759는 2019년 9월에 패치된 것으로 보고되었지만, 원격 코드 실행이 여전히 사기꾼의 공격 시도로 활발하게 사용되는 것으로 보입니다. 포럼 관리자는 vBulletin 제어판을 확인하고 PHP 위젯을 끌 것을 권장했습니다. 소프트웨어의 5.6.x 버전 중 일부는 이번 주 초에 새로운 패치를 수신했으며, vBulletin의 이전 버전은 취약한 것으로 간주되어 업그레이드가 필요합니다.

SOC Prime Threat Bounty Developer 프로그램의 적극적인 회원인 Halil Ibrahim Cosgun은 vBulletin v5.x RCE에 대한 Sigma 규칙을 발표했습니다(CVE-2019-16759의 새로운 방법을 통한 악용):

https://tdm.socprime.com/tdm/info/8xfRloY1Ptce/5gbp4XMBQAH5UgbBNVNc/

규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

전술: 초기 접근

방법: 공공에 노출된 애플리케이션 악용 (T1190)

더 알아보기 위협 탐지 마켓플레이스의 규칙 Halil Ibrahim Cosgun이 게시했습니다.

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하기.

Or 위협 현상금 프로그램에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.